สปอนเซอร์ที่มีหนวดเป็นชุด: การสแกนของ Ballistic Bobcat และโจมตีประตูหลัง

นักวิจัยของ ESET ค้นพบแคมเปญ Ballistic Bobcat ที่กำหนดเป้าหมายไปยังหน่วยงานต่างๆ ในบราซิล อิสราเอล และสหรัฐอาหรับเอมิเรตส์ โดยใช้ประตูหลังใหม่ที่เราตั้งชื่อว่า Sponsor

เราค้นพบผู้สนับสนุนหลังจากที่เราวิเคราะห์ตัวอย่างที่น่าสนใจที่เราตรวจพบในระบบของเหยื่อในอิสราเอลในเดือนพฤษภาคม 2022 และกำหนดขอบเขตเหยื่อที่กำหนดตามประเทศ จากการตรวจสอบ เราเห็นได้ชัดว่าตัวอย่างนี้เป็นประตูหลังแบบใหม่ที่ใช้งานโดยกลุ่ม Ballistic Bobcat APT

Ballistic Bobcat ซึ่งก่อนหน้านี้ติดตามโดย ESET Research ในชื่อ APT35/APT42 (aka Charming Kitten, TA453 หรือ PHOSPHORUS) เป็นผู้ต้องสงสัย กลุ่มภัยคุกคามต่อเนื่องขั้นสูงที่สอดคล้องกับอิหร่าน ที่กำหนดเป้าหมายไปที่องค์กรด้านการศึกษา รัฐบาล และการดูแลสุขภาพ รวมถึงนักเคลื่อนไหวและนักข่าวด้านสิทธิมนุษยชน มีการใช้งานมากที่สุดในอิสราเอล ตะวันออกกลาง และสหรัฐอเมริกา โดยเฉพาะอย่างยิ่งในช่วงที่มีการระบาดใหญ่ เป้าหมายดังกล่าวมุ่งเป้าไปที่องค์กรที่เกี่ยวข้องกับโควิด-19 รวมถึงองค์การอนามัยโลกและบริษัทยากิเลียด และบุคลากรด้านการวิจัยทางการแพทย์

ทับซ้อนกันระหว่างแคมเปญ Ballistic Bobcat และเวอร์ชันแบ็คดอร์ของผู้สนับสนุนแสดงรูปแบบการพัฒนาและการปรับใช้เครื่องมือที่ค่อนข้างชัดเจน โดยมีแคมเปญที่กำหนดเป้าหมายแคบ โดยแต่ละแคมเปญมีระยะเวลาจำกัด ต่อมาเราได้ค้นพบแบ็คดอร์ของผู้สนับสนุนอีกสี่เวอร์ชัน โดยรวมแล้ว เราเห็นผู้สนับสนุนถูกส่งไปยังเหยื่ออย่างน้อย 34 รายในบราซิล อิสราเอล และสหรัฐอาหรับเอมิเรตส์ ดังที่ระบุไว้ใน  REF _Ref143075975 ชม รูป 1
.

ประเด็นสำคัญของบล็อกโพสต์นี้:

• เราค้นพบแบ็คดอร์ตัวใหม่ที่ใช้งานโดย Ballistic Bobcat ซึ่งต่อมาเราตั้งชื่อว่า Sponsor
• Ballistic Bobcat ติดตั้งแบ็คดอร์ใหม่ในเดือนกันยายน 2021 ในขณะที่กำลังสรุปแคมเปญที่บันทึกไว้ใน CISA Alert AA21-321A และแคมเปญ PowerLess
• แบ็คดอร์ของผู้สนับสนุนใช้ไฟล์การกำหนดค่าที่จัดเก็บไว้ในดิสก์ ไฟล์เหล่านี้ถูกนำไปใช้งานอย่างรอบคอบโดยไฟล์แบตช์และได้รับการออกแบบอย่างจงใจให้ปรากฏว่าไม่มีอันตราย ดังนั้นจึงพยายามหลบเลี่ยงการตรวจจับด้วยกลไกการสแกน
• ผู้สนับสนุนถูกส่งไปยังเหยื่ออย่างน้อย 34 รายในบราซิล อิสราเอล และสหรัฐอาหรับเอมิเรตส์ เราได้ตั้งชื่อกิจกรรมนี้ว่าแคมเปญการเข้าถึงของผู้สนับสนุน

การเข้าถึงเบื้องต้น

Ballistic Bobcat ได้รับการเข้าถึงครั้งแรกโดยการใช้ประโยชน์จากช่องโหว่ที่ทราบในเซิร์ฟเวอร์ Microsoft Exchange ที่เปิดเผยทางอินเทอร์เน็ต โดยทำการสแกนระบบหรือเครือข่ายอย่างพิถีพิถันในขั้นแรกเพื่อระบุจุดอ่อนหรือช่องโหว่ที่อาจเกิดขึ้น จากนั้นจึงกำหนดเป้าหมายและใช้ประโยชน์จากจุดอ่อนที่ระบุเหล่านั้น เป็นที่รู้กันว่ากลุ่มนี้มีส่วนร่วมในพฤติกรรมนี้มาระยะหนึ่งแล้ว อย่างไรก็ตาม เหยื่อจำนวนมากจาก 34 รายที่ระบุในการตรวจวัดทางไกลของ ESET อาจถูกอธิบายได้ดีที่สุดว่าเป็นเหยื่อของโอกาส แทนที่จะเป็นเหยื่อที่ได้รับการคัดเลือกและวิจัยไว้ล่วงหน้า เนื่องจากเราสงสัยว่า Ballistic Bobcat มีส่วนร่วมในพฤติกรรมการสแกนและการหาประโยชน์ตามที่อธิบายไว้ข้างต้น เนื่องจากไม่ใช่ภัยคุกคามเพียงอย่างเดียว ผู้ที่สามารถเข้าถึงระบบเหล่านี้ได้ เราได้ตั้งชื่อกิจกรรม Ballistic Bobcat โดยใช้แบ็คดอร์ของผู้สนับสนุนเป็นแคมเปญการเข้าถึงของผู้สนับสนุน

แบ็คดอร์ของผู้สนับสนุนใช้ไฟล์การกำหนดค่าบนดิสก์ ซึ่งถูกทิ้งโดยไฟล์แบตช์ และทั้งสองอย่างไม่มีอันตรายในการเลี่ยงผ่านกลไกการสแกน วิธีการแบบแยกส่วนนี้เป็นแนวทางหนึ่งที่ Ballistic Bobcat ใช้ค่อนข้างบ่อยและประสบความสำเร็จเล็กน้อยในช่วงสองปีครึ่งที่ผ่านมา ในระบบที่ถูกบุกรุก Ballistic Bobcat ยังคงใช้เครื่องมือโอเพ่นซอร์สที่หลากหลาย ซึ่งเราอธิบายร่วมกับประตูหลังของผู้สนับสนุนในบล็อกโพสต์นี้

victimology

เหยื่อ 34 รายส่วนใหญ่อยู่ในอิสราเอล โดยมีเพียง XNUMX รายเท่านั้นที่อยู่ในประเทศอื่นๆ:

• บราซิล ที่สหกรณ์ทางการแพทย์และผู้ดำเนินการประกันสุขภาพ และ
• สหรัฐอาหรับเอมิเรตส์ในองค์กรที่ไม่ปรากฏชื่อ

 REF _Ref112861418 ชม ตาราง 1
อธิบายแนวดิ่งและรายละเอียดองค์กรสำหรับผู้เสียหายในอิสราเอล

ตาราง  ตาราง SEQ * ภาษาอาหรับ 1. รายละเอียดแนวธุรกิจและองค์กรสำหรับผู้เสียหายในอิสราเอล

แนวตั้ง	รายละเอียด
ยานยนต์	·       บริษัทยานยนต์ที่เชี่ยวชาญด้านการดัดแปลงตามสั่ง ·       เป็นบริษัทซ่อมแซมและบำรุงรักษายานยนต์
คมนาคม	·       สื่ออิสราเอลแห่งหนึ่ง
ชั้นเยี่ยม	·       บริษัทวิศวกรรมโยธาแห่งหนึ่ง ·       บริษัทวิศวกรรมสิ่งแวดล้อมแห่งหนึ่ง ·       บริษัทออกแบบสถาปัตยกรรมแห่งหนึ่ง
บริการทางการเงิน	·       บริษัทผู้ให้บริการทางการเงินที่เชี่ยวชาญด้านการให้คำปรึกษาด้านการลงทุน ·       บริษัทที่จัดการค่าลิขสิทธิ์
การดูแลสุขภาพ	·       ผู้ให้บริการการรักษาพยาบาล
ประกันภัย	·       บริษัทประกันภัยที่ดำเนินธุรกิจตลาดประกันภัย ·       บริษัทประกันภัยเชิงพาณิชย์แห่งหนึ่ง
กฏหมาย	·       บริษัทที่เชี่ยวชาญด้านกฎหมายการแพทย์
การผลิต	·       บริษัทผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์หลายแห่ง ·       บริษัทที่ผลิตผลิตภัณฑ์เชิงพาณิชย์ที่ทำจากโลหะ ·       บริษัทผู้ผลิตเทคโนโลยีข้ามชาติ
ขายปลีก	·       ร้านขายอาหาร ·       ผู้ค้าปลีกเพชรข้ามชาติ ·       ร้านค้าปลีกผลิตภัณฑ์ดูแลผิว ·       ผู้ค้าปลีกและติดตั้งอุปกรณ์ตกแต่งหน้าต่าง ·       ผู้จัดจำหน่ายชิ้นส่วนอิเล็กทรอนิกส์ระดับโลก ·       ซัพพลายเออร์ควบคุมการเข้าถึงทางกายภาพ
เทคโนโลยี	·       บริษัทเทคโนโลยีบริการด้านไอที ·       ผู้ให้บริการโซลูชั่นด้านไอที
โทรคมนาคม	·       เป็นบริษัทโทรคมนาคม
ไม่ปรากฏหลักฐาน	·       องค์กรที่ไม่ปรากฏชื่อหลายแห่ง

การแสดงที่มา

ในเดือนสิงหาคม 2021 เหยื่อชาวอิสราเอลข้างต้นซึ่งดำเนินธุรกิจตลาดประกันภัยถูก Ballistic Bobcat โจมตีด้วยเครื่องมือต่างๆ CISA รายงานเมื่อเดือนพฤศจิกายน 2021. ตัวชี้วัดของการประนีประนอมที่เราสังเกตคือ:

• MicrosoftOutlookUpdateSchedule,
• MicrosoftOutlookUpdateSchedule.xml,
• Google การจัดการการเปลี่ยนแปลงและ
• GoogleChangeManagement.xml.

เครื่องมือ Ballistic Bobcat สื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) เดียวกันกับในรายงาน CISA: 162.55.137[.]20.

จากนั้นในเดือนกันยายน 2021 เหยื่อรายเดียวกันก็ได้รับเครื่องมือ Ballistic Bobcat รุ่นต่อไป: ประตูหลัง PowerLess และชุดเครื่องมือสนับสนุน ตัวชี้วัดของการประนีประนอมที่เราสังเกตคือ:

• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/dll.dll,
• windowsprocesses.exeและ
• http://162.55.137[.]20/gsdhdDdfgA5sS/ff/windowsprocesses.exe.

ในเดือนพฤศจิกายน 18^thในปี 2021 กลุ่มจึงได้ใช้เครื่องมืออื่น (พลิ้ง) ที่ครอบคลุมอยู่ในรายงาน CISA เช่น MicrosoftOutLookUpdater.exe. สิบวันต่อมา วันที่ 28 พฤศจิกายน^thในปี 2021 Ballistic Bobcat ได้ปรับใช้ ตัวแทนเมอร์ลิน (ส่วนตัวแทนของ เซิร์ฟเวอร์ C&C หลังการแสวงหาประโยชน์แบบโอเพ่นซอร์สและเอเจนต์ที่เขียนด้วยภาษา Go). บนดิสก์ มีการตั้งชื่อเอเจนต์ Merlin นี้ googleUpdate.exeโดยใช้รูปแบบการตั้งชื่อเดียวกันกับที่อธิบายไว้ในรายงาน CISA เพื่อซ่อนให้พ้นสายตา

เจ้าหน้าที่ Merlin ดำเนินการเชลล์ย้อนกลับของ Meterpreter ที่เรียกกลับไปยังเซิร์ฟเวอร์ C&C ใหม่ 37.120.222[.]168:80. วันที่ 12 ธันวาคม^thปี 2021 เชลล์ย้อนกลับทิ้งไฟล์แบตช์ install.batและภายในไม่กี่นาทีหลังจากดำเนินการไฟล์แบตช์ ผู้ปฏิบัติงาน Ballistic Bobcat ได้ผลักดันแบ็คดอร์ตัวใหม่ล่าสุดของพวกเขา ซึ่งก็คือ Sponsor นี่จะกลายเป็นแบ็คดอร์เวอร์ชันที่สาม

การวิเคราะห์ทางเทคนิค

การเข้าถึงเบื้องต้น

เราสามารถระบุวิธีการเข้าถึงเบื้องต้นที่เป็นไปได้สำหรับเหยื่อ 23 รายจาก 34 รายที่เราสังเกตเห็นในการวัดและส่งข้อมูลทางไกลของ ESET คล้ายกับที่มีรายงานใน พาวเวอร์เลส และ ซีไอเอสเอ รายงาน Ballistic Bobcat อาจใช้ประโยชน์จากช่องโหว่ที่ทราบ CVE-2021-26855ในเซิร์ฟเวอร์ Microsoft Exchange เพื่อตั้งหลักในระบบเหล่านี้

สำหรับเหยื่อ 16 รายจาก 34 ราย ดูเหมือนว่า Ballistic Bobcat ไม่ใช่ผู้คุกคามเพียงรายเดียวที่สามารถเข้าถึงระบบของพวกเขาได้ สิ่งนี้อาจบ่งชี้ว่า นอกเหนือจากเหยื่อที่หลากหลายและการขาดคุณค่าทางสติปัญญาที่ชัดเจนของเหยื่อเพียงไม่กี่รายแล้ว Ballistic Bobcat มีส่วนร่วมในพฤติกรรมการสแกนและแสวงหาผลประโยชน์ ซึ่งตรงข้ามกับการรณรงค์แบบกำหนดเป้าหมายต่อเหยื่อที่เลือกไว้ล่วงหน้า

toolset

เครื่องมือโอเพ่นซอร์ส

Ballistic Bobcat ใช้เครื่องมือโอเพ่นซอร์สจำนวนหนึ่งระหว่างแคมเปญการเข้าถึงแบบผู้สนับสนุน เครื่องมือและฟังก์ชันเหล่านั้นแสดงอยู่ในรายการ  REF _Ref112861458 ชม ตาราง 2
.

ตาราง  ตาราง SEQ * ภาษาอาหรับ 2. เครื่องมือโอเพ่นซอร์สที่ใช้โดย Ballistic Bobcat

ชื่อไฟล์	รายละเอียด
host2ip.exe	แผนที่ ชื่อโฮสต์ไปยังที่อยู่ IP ภายในเครือข่ายท้องถิ่น
CSRSS.EXE	RevSocks, แอปพลิเคชันอุโมงค์ย้อนกลับ
mi.exe	Mimikatz โดยมีชื่อไฟล์ต้นฉบับเป็น midongle.exe และอัดแน่นไปด้วย ตัวนิ่ม PE บรรจุหีบห่อ.
gost.exe	GO อุโมงค์ธรรมดา (GOST) แอปพลิเคชันการขุดอุโมงค์ที่เขียนด้วยภาษา Go
สิ่ว.exe	สิ่วซึ่งเป็นอุโมงค์ TCP/UDP บน HTTP โดยใช้เลเยอร์ SSH
csrss_protected.exe	RevSocks tunnel ได้รับการปกป้องด้วยเวอร์ชันทดลองของ การป้องกันซอฟต์แวร์ Enigma Protector.
plink.exe	พลิ้ง (PuTTY Link) เครื่องมือเชื่อมต่อบรรทัดคำสั่ง
เว็บเบราว์เซอร์PassView.exe	A เครื่องมือกู้คืนรหัสผ่าน สำหรับรหัสผ่านที่เก็บไว้ในเว็บเบราว์เซอร์
sqlextractor.exe	A เครื่องมือ สำหรับการโต้ตอบและดึงข้อมูลจากฐานข้อมูล SQL
procdump64.exe	ProcDumpที่  ยูทิลิตี้บรรทัดคำสั่ง Sysinternals สำหรับตรวจสอบแอปพลิเคชันและสร้างไฟล์ดัมพ์

แบทช์ไฟล์

Ballistic Bobcat ปรับใช้ไฟล์แบตช์กับระบบของเหยื่อก่อนที่จะปรับใช้แบ็คดอร์ของผู้สนับสนุน เส้นทางไฟล์ที่เราทราบคือ:

• C:inetpubwwwrootaspnet_clientInstall.bat
• %USERPROFILE%DesktopInstall.bat
• %WINDOWS%งานติดตั้ง.bat

ขออภัย เราไม่สามารถรับไฟล์แบตช์เหล่านี้ได้ อย่างไรก็ตาม เราเชื่อว่าพวกเขาเขียนไฟล์การกำหนดค่าที่ไม่เป็นอันตรายลงในดิสก์ ซึ่งแบ็คดอร์ของผู้สนับสนุนต้องการให้ทำงานได้อย่างสมบูรณ์ ชื่อไฟล์การกำหนดค่าเหล่านี้นำมาจากแบ็คดอร์ของผู้สนับสนุน แต่ไม่เคยรวบรวม:

• config.txt
• node.txt
• error.txt
• ถอนการติดตั้ง.bat

เราเชื่อว่าไฟล์แบตช์และไฟล์การกำหนดค่าเป็นส่วนหนึ่งของกระบวนการพัฒนาแบบโมดูลาร์ที่ Ballistic Bobcat ชื่นชอบในช่วงไม่กี่ปีที่ผ่านมา

สปอนเซอร์ลับๆ

แบ็คดอร์ของผู้สนับสนุนเขียนด้วยภาษา C++ พร้อมด้วยการประทับเวลาการคอมไพล์และเส้นทางฐานข้อมูลโปรแกรม (PDB) ดังที่แสดงใน  REF _Ref112861527 ชม ตาราง 3
. หมายเหตุเกี่ยวกับหมายเลขเวอร์ชัน: คอลัมน์ เวอร์ชั่น แสดงถึงเวอร์ชันที่เราติดตามภายในโดยอิงตามความก้าวหน้าเชิงเส้นของแบ็คดอร์ของผู้สนับสนุน ซึ่งมีการเปลี่ยนแปลงจากเวอร์ชันหนึ่งไปยังเวอร์ชันถัดไป ที่ เวอร์ชันภายใน คอลัมน์ประกอบด้วยหมายเลขเวอร์ชันที่พบในแบ็คดอร์ของผู้สนับสนุนแต่ละราย และรวมไว้เพื่อความสะดวกในการเปรียบเทียบเมื่อตรวจสอบตัวอย่างเหล่านี้และตัวอย่างที่เป็นไปได้ของผู้สนับสนุนอื่นๆ

ตาราง 3. ประทับเวลาการรวบรวมผู้สนับสนุนและ PDB

เวอร์ชั่น	เวอร์ชันภายใน	การประทับเวลาการรวบรวม	PDB
1	1.0.0	2021-08-29 09:12:51	D:TempBD_Plus_SrvcReleaseBD_Plus_Srvc.pdb
2	1.0.0	2021-10-09 12:39:15	D:TempSponsorReleaseSponsor.pdb
3	1.4.0	2021-11-24 11:51:55	D:TempSponsorReleaseSponsor.pdb
4	2.1.1	2022-02-19 13:12:07	D:TempSponsorReleaseSponsor.pdb
5	1.2.3.0	2022-06-19 14:14:13	D:TempAluminaReleaseAlumina.pdb

การดำเนินการเริ่มต้นของ Sponsor จำเป็นต้องมีอาร์กิวเมนต์รันไทม์ ติดตั้งหากไม่มีผู้สนับสนุนรายใดออกจากระบบอย่างสง่างาม อาจเป็นเพียงเทคนิคต่อต้านการจำลอง/ต่อต้านแซนด์บ็อกซ์ธรรมดาๆ หากผ่านอาร์กิวเมนต์นั้น Sponsor จะสร้างบริการที่เรียกว่า ระบบเครือข่าย (ใน v1) and บันทึก (ในเวอร์ชันอื่นทั้งหมด) มันกำหนดการบริการของ ชนิดการเริ่มต้น ไปยัง อัตโนมัติและตั้งค่าให้รันกระบวนการผู้สนับสนุนของตนเอง และให้สิทธิ์การเข้าถึงแบบเต็ม จากนั้นจะเริ่มให้บริการ

สปอนเซอร์ซึ่งขณะนี้ทำงานเป็นบริการพยายามที่จะเปิดไฟล์การกำหนดค่าดังกล่าวก่อนหน้านี้วางไว้บนดิสก์ มันมองหา config.txt และ node.txtทั้งในไดเร็กทอรีการทำงานปัจจุบัน หากรายการแรกหายไป สปอนเซอร์จะตั้งค่าบริการเป็น หยุด และออกไปอย่างสง่างาม

การกำหนดค่าแบ็คดอร์

การกำหนดค่าของผู้สนับสนุน เก็บไว้ใน config.txtมีสองฟิลด์:

• ช่วงเวลาการอัปเดตเป็นวินาทีเพื่อติดต่อเซิร์ฟเวอร์ C&C เป็นระยะๆ เพื่อขอคำสั่ง
• รายชื่อเซิร์ฟเวอร์ C&C เรียกว่า รีเลย์ ในไบนารีของผู้สนับสนุน

เซิร์ฟเวอร์ C&C ถูกจัดเก็บแบบเข้ารหัส (RC4) และคีย์ถอดรหัสจะแสดงอยู่ในบรรทัดแรกของ config.txt. แต่ละช่องรวมทั้งคีย์ถอดรหัสจะมีรูปแบบแสดงอยู่  REF _Ref142647636 ชม รูป 3
.

ฟิลด์ย่อยเหล่านี้คือ:

• config_start: ระบุความยาวของ config_nameถ้ามี หรือเป็นศูนย์ หากไม่มี ใช้โดยประตูหลังเพื่อรู้ว่าอยู่ที่ไหน config_data เริ่มต้น
• config_len: ความยาวของ config_data.
• config_name: เป็นทางเลือก มีชื่อที่กำหนดให้กับฟิลด์การกำหนดค่า
• config_data: การกำหนดค่าเอง มีการเข้ารหัส (ในกรณีของเซิร์ฟเวอร์ C&C) หรือไม่ (ฟิลด์อื่นๆ ทั้งหมด)

 REF _Ref142648473 ชม รูป 4
แสดงตัวอย่างที่มีเนื้อหารหัสสีที่เป็นไปได้ config.txt ไฟล์. โปรดทราบว่านี่ไม่ใช่ไฟล์จริงที่เราสังเกตเห็น แต่เป็นตัวอย่างที่ประดิษฐ์ขึ้น

สองช่องสุดท้ายใน config.txt ถูกเข้ารหัสด้วย RC4 โดยใช้การแสดงสตริงของแฮช SHA-256 ของคีย์ถอดรหัสที่ระบุ เป็นคีย์ในการเข้ารหัสข้อมูล เราเห็นว่าไบต์ที่เข้ารหัสจะถูกจัดเก็บแบบเข้ารหัสฐานสิบหกเป็นข้อความ ASCII

รวบรวมข้อมูลโฮสต์

ผู้สนับสนุนรวบรวมข้อมูลเกี่ยวกับโฮสต์ที่รันอยู่ รายงานข้อมูลที่รวบรวมทั้งหมดไปยังเซิร์ฟเวอร์ C&C และรับ ID โหนดซึ่งเขียนถึง node.txt.  REF _Ref142653641 ชม ตาราง 4
REF _Ref112861575 ชม
 แสดงรายการคีย์และค่าในรีจิสทรีของ Windows ที่ผู้สนับสนุนใช้เพื่อรับข้อมูล และจัดเตรียมตัวอย่างข้อมูลที่รวบรวม

ตารางที่ 4. ข้อมูลที่รวบรวมโดยผู้สนับสนุน

คีย์รีจิสทรี	ความคุ้มค่า	ตัวอย่าง
HKEY_LOCAL_MACHINESYSTEMCชุดควบคุมปัจจุบันบริการ Tcpip พารามิเตอร์	ชื่อโฮสต์	D-835MK12
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTimeZoneInformation	ชื่อโซนเวลา	เวลามาตรฐานของอิสราเอล
HKEY_USERS.DEFAULTแผงควบคุมนานาชาติ	ชื่อสถานที่	เขา-อิล
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemBIOS	กระดานข้างก้นผลิตภัณฑ์	10NX0010IL
HKEY_LOCAL_MACHINEHARDWAREDESCRIPTIONSystemCentralProcessor	หน่วยประมวลผล NameString	ซีพียู Intel(R) Core(TM) i7-8565U @ 1.80GHz
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion	ชื่อผลิตภัณฑ์	Windows 10 Enterprise ไม่มี
	CurrentVersion	6.3
	หมายเลขรุ่นปัจจุบัน	19044
	ประเภทการติดตั้ง	ไคลเอนต์

ผู้สนับสนุนยังรวบรวมโดเมน Windows ของโฮสต์โดยใช้สิ่งต่อไปนี้ WMIC คำสั่ง:

ระบบคอมพิวเตอร์ wmic รับโดเมน

สุดท้ายนี้ ผู้สนับสนุนใช้ Windows API เพื่อรวบรวมชื่อผู้ใช้ปัจจุบัน (รับชื่อผู้ใช้ W) ตรวจสอบว่ากระบวนการผู้สนับสนุนปัจจุบันทำงานเป็นแอปพลิเคชัน 32- หรือ 64- บิต (รับ CurrentProcessแล้ว IsWow64Process (กระบวนการปัจจุบัน)) และพิจารณาว่าระบบทำงานโดยใช้พลังงานจากแบตเตอรี่หรือเชื่อมต่อกับแหล่งจ่ายไฟ AC หรือ DC (รับ SystemPowerStatus).

สิ่งแปลกประหลาดประการหนึ่งเกี่ยวกับการตรวจสอบแอปพลิเคชัน 32- หรือ 64- บิตก็คือ ตัวอย่างที่สังเกตได้ทั้งหมดของผู้สนับสนุนเป็นแบบ 32- บิต นี่อาจหมายความว่าเครื่องมือในขั้นต่อไปบางอันจำเป็นต้องมีข้อมูลนี้

ข้อมูลที่รวบรวมจะถูกส่งไปในข้อความที่เข้ารหัส base64 ซึ่งก่อนการเข้ารหัสจะเริ่มต้นด้วย r และมีรูปแบบปรากฏอยู่ใน  REF _Ref142655224 ชม รูป 5
.

ข้อมูลถูกเข้ารหัสด้วย RC4 และคีย์เข้ารหัสเป็นตัวเลขสุ่มที่สร้างขึ้นทันที คีย์ถูกแฮชด้วยอัลกอริทึม MD5 ไม่ใช่ SHA-256 ตามที่กล่าวไว้ก่อนหน้านี้ นี่เป็นกรณีของการสื่อสารทั้งหมดที่ผู้สนับสนุนต้องส่งข้อมูลที่เข้ารหัส

เซิร์ฟเวอร์ C&C ตอบกลับด้วยหมายเลขที่ใช้ระบุคอมพิวเตอร์ที่ตกเป็นเหยื่อในการสื่อสารในภายหลังซึ่งเขียนถึง node.txt. โปรดทราบว่าเซิร์ฟเวอร์ C&C จะถูกสุ่มเลือกจากรายการเมื่อ r ข้อความถูกส่ง และใช้เซิร์ฟเวอร์เดียวกันในการสื่อสารที่ตามมาทั้งหมด

ลูปการประมวลผลคำสั่ง

สปอนเซอร์ร้องขอคำสั่งแบบวนซ้ำ โดยพักการทำงานตามช่วงเวลาที่กำหนดไว้ config.txt. ขั้นตอนคือ:

1. ส่ง ชเค=ทดสอบ ข้อความซ้ำๆ จนกระทั่งเซิร์ฟเวอร์ C&C ตอบกลับ Ok.
2. ส่ง c (IS_CMD_AVAIL) ไปยังเซิร์ฟเวอร์ C&C และรับคำสั่งของผู้ปฏิบัติงาน
3. ประมวลผลคำสั่ง
   • หากมีเอาต์พุตที่จะส่งไปยังเซิร์ฟเวอร์ C&C ให้ส่ง a (ACK) รวมถึงข้อความเอาต์พุต (เข้ารหัส) หรือ
   • หากการดำเนินการล้มเหลว ให้ส่งไฟล์ f (ล้มเหลว) ข้อความ. ไม่ได้ส่งข้อความแสดงข้อผิดพลาด
4. นอนหลับ

พื้นที่ c ข้อความถูกส่งเพื่อขอคำสั่งให้ดำเนินการและมีรูปแบบ (ก่อนการเข้ารหัส base64) แสดงใน  REF _Ref142658017 ชม รูป 6
.

พื้นที่ encrypted_none ฟิลด์ในรูปคือผลลัพธ์ของการเข้ารหัสสตริงฮาร์ดโค้ด ไม่มี กับ RC4 กุญแจสำคัญสำหรับการเข้ารหัสคือแฮช MD5 ของ node_id.

URL ที่ใช้ในการติดต่อกับเซิร์ฟเวอร์ C&C ถูกสร้างขึ้นเป็น: http://<IP_or_domain>:80. นี่อาจบ่งบอกได้ว่า 37.120.222[.]168:80 เป็นเซิร์ฟเวอร์ C&C เพียงเซิร์ฟเวอร์เดียวที่ใช้ตลอดแคมเปญ Sponsoring Access เนื่องจากเป็นที่อยู่ IP เดียวที่เราสังเกตเห็นว่าเครื่องของเหยื่อติดต่อไปที่พอร์ต 80

คำสั่งของผู้ประกอบการ

คำสั่งของโอเปอเรเตอร์ถูกกำหนดไว้แล้ว  REF _Ref112861551 ชม ตาราง 5
และปรากฏตามลำดับที่พบในโค้ด การสื่อสารกับเซิร์ฟเวอร์ C&C เกิดขึ้นผ่านพอร์ต 80

ตารางที่ 5. คำสั่งและคำอธิบายของโอเปอเรเตอร์

คำสั่ง	รายละเอียด
p	ส่ง ID กระบวนการสำหรับกระบวนการ Sponsor ที่รันอยู่
e	ดำเนินการคำสั่งตามที่ระบุไว้ในอาร์กิวเมนต์เพิ่มเติมในภายหลังบนโฮสต์ผู้สนับสนุนโดยใช้สตริงต่อไปนี้: c:windowssystem32cmd.exe /c    > result.txt 2>&1 ผลลัพธ์จะถูกเก็บไว้ใน ผลลัพธ์. txt ในไดเร็กทอรีการทำงานปัจจุบัน ส่ง a ข้อความที่มีเอาต์พุตที่เข้ารหัสไปยังเซิร์ฟเวอร์ C&C หากดำเนินการสำเร็จ หากล้มเหลว ให้ส่ง f ข้อความ (โดยไม่ระบุข้อผิดพลาด)
d	รับไฟล์จากเซิร์ฟเวอร์ C&C และดำเนินการ คำสั่งนี้มีอาร์กิวเมนต์มากมาย: ชื่อไฟล์เป้าหมายที่จะเขียนไฟล์ลงไป, แฮช MD5 ของไฟล์, ไดเร็กทอรีที่จะเขียนไฟล์ไปที่ (หรือไดเร็กทอรีการทำงานปัจจุบันตามค่าเริ่มต้น), บูลีนเพื่อระบุว่าจะรันไฟล์หรือ ไม่ และเนื้อหาของไฟล์ปฏิบัติการมีการเข้ารหัส base64 หากไม่มีข้อผิดพลาดเกิดขึ้น a ข้อความจะถูกส่งไปยังเซิร์ฟเวอร์ C&C ด้วย อัปโหลดและดำเนินการไฟล์สำเร็จ or อัปโหลดไฟล์สำเร็จโดยไม่ต้องดำเนินการ (เข้ารหัส) หากเกิดข้อผิดพลาดระหว่างการดำเนินการไฟล์ f ข้อความถูกส่ง หากแฮช MD5 ของเนื้อหาของไฟล์ไม่ตรงกับแฮชที่ให้มา e (CRC_ERROR) ข้อความจะถูกส่งไปยังเซิร์ฟเวอร์ C&C (รวมถึงเฉพาะคีย์เข้ารหัสที่ใช้เท่านั้น และไม่มีข้อมูลอื่นใด) การใช้คำว่า อัพโหลด นี่อาจทำให้เกิดความสับสนเนื่องจากตัวดำเนินการ Ballistic Bobcat และผู้เขียนโค้ดรับมุมมองจากฝั่งเซิร์ฟเวอร์ ในขณะที่หลายคนอาจมองว่านี่เป็นการดาวน์โหลดตามการดึงไฟล์ (เช่น การดาวน์โหลดไฟล์) โดยระบบที่ใช้แบ็คดอร์ของผู้สนับสนุน
u	ความพยายามดาวน์โหลดไฟล์โดยใช้นามสกุล URLดาวน์โหลดไฟล์W Windows API และดำเนินการ ความสำเร็จส่ง a ข้อความที่ใช้คีย์เข้ารหัส และไม่มีข้อมูลอื่น ความล้มเหลวส่ง f ข้อความที่มีโครงสร้างคล้ายกัน
s	รันไฟล์บนดิสก์แล้ว ถอนการติดตั้ง.bat ในไดเร็กทอรีการทำงานปัจจุบัน ซึ่งส่วนใหญ่จะมีคำสั่งให้ลบไฟล์ที่เกี่ยวข้องกับแบ็คดอร์
n	คำสั่งนี้สามารถระบุได้อย่างชัดเจนโดยผู้ปฏิบัติงาน หรือสามารถอนุมานโดยผู้สนับสนุนว่าเป็นคำสั่งให้ดำเนินการโดยไม่มีคำสั่งอื่นใด เรียกภายในสปอนเซอร์ว่า NO_CMDโดยจะดำเนินการโหมดสลีปแบบสุ่มก่อนที่จะกลับมาเช็คอินอีกครั้งด้วยเซิร์ฟเวอร์ C&C
b	อัปเดตรายการ C&C ที่จัดเก็บไว้ใน config.txt ในไดเร็กทอรีการทำงานปัจจุบัน ที่อยู่ C&C ใหม่จะแทนที่ที่อยู่ก่อนหน้า พวกเขาจะไม่ถูกเพิ่มเข้าไปในรายการ มันส่ง a ข้อความกับ เปลี่ยนรีเลย์ใหม่เรียบร้อยแล้ว (เข้ารหัส) ไปยังเซิร์ฟเวอร์ C&C หากอัปเดตสำเร็จ
i	อัพเดตช่วงเวลาเช็คอินที่กำหนดไว้ล่วงหน้าที่ระบุไว้ config.txt. มันส่ง a ข้อความกับ แทนที่ช่วงเวลาใหม่สำเร็จแล้ว ไปยังเซิร์ฟเวอร์ C&C หากอัปเดตสำเร็จ

อัพเดตสปอนเซอร์

ผู้เขียนโค้ด Ballistic Bobcat ทำการแก้ไขโค้ดระหว่างผู้สนับสนุนเวอร์ชัน 1 และเวอร์ชัน 2 การเปลี่ยนแปลงที่สำคัญที่สุดสองประการในช่วงหลังคือ:

• การเพิ่มประสิทธิภาพโค้ดโดยย่อฟังก์ชันที่ยาวกว่าหลายฟังก์ชันให้ย่อเล็กสุดลงในฟังก์ชันและฟังก์ชันย่อย และ
• การปลอมตัวผู้สนับสนุนเป็นโปรแกรมอัพเดตโดยรวมข้อความต่อไปนี้ในการกำหนดค่าบริการ:

การอัปเดตแอปนั้นยอดเยี่ยมสำหรับทั้งผู้ใช้แอปและแอป การอัปเดตหมายความว่านักพัฒนาพยายามปรับปรุงแอปอยู่เสมอ โดยคำนึงถึงประสบการณ์ของลูกค้าที่ดีขึ้นในการอัปเดตแต่ละครั้ง

โครงสร้างพื้นฐานเครือข่าย

นอกเหนือจากการแบกบนโครงสร้างพื้นฐาน C&C ที่ใช้ในแคมเปญ PowerLess แล้ว Ballistic Bobcat ยังแนะนำเซิร์ฟเวอร์ C&C ใหม่อีกด้วย กลุ่มยังใช้ IP หลายรายการเพื่อจัดเก็บและส่งมอบเครื่องมือสนับสนุนระหว่างแคมเปญการเข้าถึงแบบผู้สนับสนุน เราขอยืนยันว่า IP เหล่านี้ไม่ได้ใช้งานอยู่ในขณะนี้

สรุป

Ballistic Bobcat ยังคงดำเนินการในรูปแบบการสแกนและใช้ประโยชน์ โดยมองหาเป้าหมายของโอกาสที่มีช่องโหว่ที่ยังไม่ได้รับการแก้ไขในเซิร์ฟเวอร์ Microsoft Exchange ที่เปิดเผยทางอินเทอร์เน็ต กลุ่มยังคงใช้ชุดเครื่องมือโอเพ่นซอร์สที่หลากหลาย เสริมด้วยแอปพลิเคชันที่กำหนดเองหลายรายการ รวมถึงแบ็คดอร์ของผู้สนับสนุน ผู้ปกป้องจะได้รับคำแนะนำอย่างดีให้แพตช์อุปกรณ์ที่เข้าถึงอินเทอร์เน็ตและระมัดระวังแอปพลิเคชันใหม่ๆ ที่จะผุดขึ้นมาภายในองค์กรของตน

หากมีข้อสงสัยเกี่ยวกับงานวิจัยของเราที่เผยแพร่บน WeLiveSecurity โปรดติดต่อเราที่ Threatintel@eset.com.
ESET Research เสนอรายงานข่าวกรอง APT ส่วนตัวและฟีดข้อมูล หากต้องการสอบถามเกี่ยวกับบริการนี้ โปรดไปที่ ESET ภัยคุกคามอัจฉริยะ หน้า.

ไอโอซี

ไฟล์

SHA-1	ชื่อไฟล์	การตรวจพบ	รายละเอียด
098B9A6CE722311553E1D8AC5849BA1DC5834C52	N / A	Win32/Agent.UXG	แบ็คดอร์ Ballistic Bobcat ผู้สนับสนุน (v1)
5AEE3C957056A8640041ABC108D0B8A3D7A02EBD	N / A	Win32/Agent.UXG	แบ็คดอร์ Ballistic Bobcat ผู้สนับสนุน (v2)
764EB6CA3752576C182FC19CFF3E86C38DD51475	N / A	Win32/Agent.UXG	แบ็คดอร์ Ballistic Bobcat ผู้สนับสนุน (v3)
2F3EDA9D788A35F4C467B63860E73C3B010529CC	N / A	Win32/Agent.UXG	แบ็คดอร์ Ballistic Bobcat ผู้สนับสนุน (v4)
E443DC53284537513C00818392E569C79328F56F	N / A	Win32/Agent.UXG	แบ็คดอร์ Ballistic Bobcat ผู้สนับสนุน (v5 หรือที่รู้จักในชื่อ Alumina)
C4BC1A5A02F8AC3CF642880DC1FC3B1E46E4DA61	N / A	WinGo/Agent.BT	อุโมงค์ถอยหลัง RevSocks
39AE8BA8C5280A09BA638DF4C9D64AC0F3F706B6	N / A	ปลาเดยส์	ProcDump ยูทิลิตี้บรรทัดคำสั่งสำหรับตรวจสอบแอปพลิเคชันและสร้างไฟล์ดัมพ์
A200BE662CDC0ECE2A2C8FC4DBBC8C574D31848A	N / A	Generik.EYWYQYF	มิมิคัทซ์.
5D60C8507AC9B840A13FFDF19E3315A3E14DE66A	N / A	WinGo/Riskware.Gost.D	GO อุโมงค์ธรรมดา (GOST)
50CFB3CF1A0FE5EC2264ACE53F96FADFE99CC617	N / A	WinGo/HackTool.สิ่ว.A	สิ่วกลับอุโมงค์
1AAE62ACEE3C04A6728F9EDC3756FABD6E342252	N / A	N / A	เครื่องมือค้นหา Host2IP
519CA93366F1B1D71052C6CE140F5C80CE885181	N / A	Win64/Packed.Enigma.BV	RevSocks tunnel ได้รับการปกป้องด้วยซอฟต์แวร์ป้องกัน Enigma Protector เวอร์ชันทดลอง
4709827C7A95012AB970BF651ED5183083366C79	N / A	N / A	Plink (PuTTY Link) เครื่องมือเชื่อมต่อบรรทัดคำสั่ง
99C7B5827DF89B4FAFC2B565ABED97C58A3C65B8	N / A	Win32/PSWTool.WebBrowserPassView.I	เครื่องมือการกู้คืนรหัสผ่านสำหรับรหัสผ่านที่จัดเก็บไว้ในเว็บเบราว์เซอร์
E52AA118A59502790A4DD6625854BD93C0DEAF27	N / A	MSIL/HackTool.SQLDump.A	เครื่องมือสำหรับการโต้ตอบและดึงข้อมูลจากฐานข้อมูล SQL

 

เส้นทางของไฟล์

ต่อไปนี้เป็นรายการเส้นทางที่มีการปรับใช้แบ็คดอร์ของผู้สนับสนุนบนเครื่องที่ตกเป็นเหยื่อ

% SYSTEMDRIVE% inetpubwwwrootaspnet_client

%USERPROFILE%AppDataLocalTempfile

% USERPROFILE% AppDataLocalTemp2 ต่ำ

%USERPROFILE%เดสก์ท็อป

%USERPROFILE%ดาวน์โหลดa

%วินเดียร์%

%WINDIR%INFMSExchange DSN การจัดส่ง

%WINDIR%งาน

%WINDIR%อุณหภูมิ%WINDIR%Tempcrashpad1Files

เครือข่าย

IP	ผู้ให้บริการ	เห็นครั้งแรก	เห็นครั้งสุดท้าย	รายละเอียด
162.55.137[.]20	Hetzner ออนไลน์ GMBH	2021-06-14	2021-06-15	ซีแอนด์ซี พาวเวอร์เลส
37.120.222[.]168	เอ็ม247 บจก	2021-11-28	2021-12-12	สปอนเซอร์ ซี แอนด์ ซี
198.144.189[.]74	การโคโลครอส	2021-11-29	2021-11-29	เว็บไซต์ดาวน์โหลดเครื่องมือสนับสนุน
5.255.97[.]172	กลุ่มโครงสร้างพื้นฐาน BV	2021-09-05	2021-10-28	เว็บไซต์ดาวน์โหลดเครื่องมือสนับสนุน

ตารางนี้ถูกสร้างขึ้นโดยใช้ 13 รุ่น ของกรอบงาน MITER ATT&CK.

ชั้นเชิง	ID	Name	รายละเอียด
การลาดตระเวน	T1595	การสแกนที่ใช้งานอยู่: การสแกนช่องโหว่	Ballistic Bobcat สแกนหา Microsoft Exchange Servers เวอร์ชันที่มีช่องโหว่เพื่อใช้ประโยชน์
การพัฒนาทรัพยากร	T1587.001	พัฒนาความสามารถ: มัลแวร์	Ballistic Bobcat ออกแบบและเขียนโค้ดประตูหลังของผู้สนับสนุน
	T1588.002	รับความสามารถ: เครื่องมือ	Ballistic Bobcat ใช้เครื่องมือโอเพ่นซอร์สต่างๆ เป็นส่วนหนึ่งของแคมเปญการเข้าถึงสำหรับผู้สนับสนุน
การเข้าถึงเบื้องต้น	T1190	ใช้ประโยชน์จากแอปพลิเคชันที่เปิดเผยต่อสาธารณะ	Ballistic Bobcat มุ่งเป้าไปที่การเปิดเผยทางอินเทอร์เน็ต  เซิร์ฟเวอร์ Microsoft Exchange
การกระทำ	T1059.003	ล่ามคำสั่งและสคริปต์: Windows Command Shell	แบ็คดอร์ของผู้สนับสนุนใช้เชลล์คำสั่ง Windows เพื่อดำเนินการคำสั่งบนระบบของเหยื่อ
	T1569.002	บริการระบบ: การดำเนินการบริการ	ประตูหลังของผู้สนับสนุนจะตั้งค่าตัวเองเป็นบริการและเริ่มการทำงานหลักหลังจากดำเนินการบริการแล้ว
การติดตา	T1543.003	สร้างหรือแก้ไขกระบวนการของระบบ: บริการ Windows	สปอนเซอร์รักษาความคงอยู่โดยการสร้างบริการที่มีการเริ่มต้นอัตโนมัติที่ดำเนินการฟังก์ชันหลักในลักษณะวนซ้ำ
การเลื่อนระดับสิทธิ์	T1078.003	บัญชีที่ถูกต้อง: บัญชีท้องถิ่น	ผู้ปฏิบัติงาน Ballistic Bobcat พยายามที่จะขโมยข้อมูลประจำตัวของผู้ใช้ที่ถูกต้อง หลังจากที่เริ่มใช้ประโยชน์จากระบบก่อนที่จะปรับใช้แบ็คดอร์ของผู้สนับสนุน
การหลบหลีกการป้องกัน	T1140	ถอดรหัสซอร์สโค้ดที่สร้างความสับสน/ถอดรหัสไฟล์หรือข้อมูล	ผู้สนับสนุนจัดเก็บข้อมูลบนดิสก์ที่เข้ารหัสและทำให้สับสน และถอดรหัสข้อมูลที่สร้างความสับสนขณะรันไทม์
	T1027	ไฟล์หรือข้อมูลที่ทำให้สับสน	ไฟล์การกำหนดค่าที่แบ็คดอร์ของผู้สนับสนุนต้องการบนดิสก์จะถูกเข้ารหัสและทำให้สับสน
	T1078.003	บัญชีที่ถูกต้อง: บัญชีท้องถิ่น	ผู้สนับสนุนดำเนินการด้วยสิทธิ์ของผู้ดูแลระบบ อาจใช้ข้อมูลรับรองที่ผู้ดำเนินการพบในดิสก์ พร้อมด้วยแบบแผนการตั้งชื่อที่ไม่เป็นอันตรายของ Ballistic Bobcat ทำให้ผู้สนับสนุนสามารถผสมผสานเข้ากับพื้นหลังได้
การเข้าถึงข้อมูลประจำตัว	T1555.003	ข้อมูลรับรองจากร้านค้ารหัสผ่าน: ข้อมูลรับรองจากเว็บเบราว์เซอร์	ผู้ปฏิบัติงาน Ballistic Bobcat ใช้เครื่องมือโอเพ่นซอร์สเพื่อขโมยข้อมูลรับรองจากร้านค้ารหัสผ่านภายในเว็บเบราว์เซอร์
การค้นพบ	T1018	การค้นพบระบบระยะไกล	Ballistic Bobcat ใช้เครื่องมือ Host2IP ที่ Agrius เคยใช้ เพื่อค้นหาระบบอื่นๆ ภายในเครือข่ายที่เข้าถึงได้ และเชื่อมโยงชื่อโฮสต์และที่อยู่ IP เข้าด้วยกัน
ควบคุมและสั่งการ	T1001	การทำให้ข้อมูลสับสน	ประตูหลังของผู้สนับสนุนจะทำให้ข้อมูลสับสนก่อนที่จะส่งไปยังเซิร์ฟเวอร์ C&C

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. ยานยนต์ / EVs, คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ChartPrime. ยกระดับเกมการซื้อขายของคุณด้วย ChartPrime เข้าถึงได้ที่นี่.
• BlockOffsets การปรับปรุงการเป็นเจ้าของออฟเซ็ตด้านสิ่งแวดล้อมให้ทันสมัย เข้าถึงได้ที่นี่.
• ที่มา: https://www.welivesecurity.com/en/eset-research/sponsor-batch-filed-whiskers-ballistic-bobcats-scan-strike-backdoor/